• Passa alla navigazione primaria
  • Passa al contenuto principale
  • Passa alla barra laterale primaria
  • Passa al piè di pagina

Il blog di HostingVirtuale

Hosting e Registrazione Domini

  • Facebook
  • Instagram
  • LinkedIn
  • Pinterest
  • RSS
  • Twitter
  • Youtube
  • Home
  • CMS
  • Social Media
  • Web Hosting
  • Web Design
  • Web Marketing
  • HostingVirtuale
    • Web Hosting
    • Cloud server
    • Server dedicati
    • Virtual Private Server
    • Sicurezza
Ti trovi qui: Home / CMS / 3 tecniche per proteggere un sito WordPress dagli attacchi SQL injection

3 tecniche per proteggere un sito WordPress dagli attacchi SQL injection

Pubblicato il 26 Gennaio 2017 da Nadia Paglione Lascia un commento Contrassegnato con: sicurezza, wordpress

3 tecniche per proteggere un sito WordPress dagli attacchi SQL injection

WordPress è di gran lunga la piattaforma più usata per realizzare la maggior parte dei siti web: dal blog all’e-commerce, dal sito vetrina al portale turistico. Questo però ha come diretta conseguenza il fatto che sia anche potenzialmente vulnerabile agli attacchi hacker. Nello specifico, analizzeremo alcune delle tecniche per proteggersi e possibilmente prevenire gli attacchi SQL injection.

Oltre ad approfondire nel nostro blog come proteggere un sito web da malware e hacker, ti ricordiamo che tra i nostri servizi, oltre a domini e hosting, sono disponibili anche quelli relativi alla sicurezza di un sito web: i certificati SSL, SiteLock per la protezione dal malware e il Cloud Backup.

Scopri di più!

Ti chiederai come fare SQL injection e soprattutto che significa. Facciamo quindi una premessa. L’SQL injection (dove SQL sta per Structured Query Language) è una tecnica di programmazione, usata per attaccare applicazioni di gestione dati, con la quale vengono inseriti delle stringhe di codice SQL malevole all’interno di campi di input in modo che vengano eseguiti.

Sfrutta le vulnerabilità di sicurezza del codice di un’applicazione, ad esempio quando l’input dell’utente non è correttamente filtrato da ‘caratteri di escape’ contenuti nelle stringhe SQL oppure non è fortemente tipizzato e viene eseguito inaspettatamente.

L’SQL injection in PHP è più conosciuto come attacco ai siti web, ma è anche usato per attaccare qualsiasi tipo di database SQL.

La caratteristica principale dei CMS e quindi di WordPress, rispetto allo sviluppo in solo HTML, è proprio quella di utilizzare un database per memorizzare i dati necessari alla visualizzazione del contenuto del sito web.

Se questi non vengono opportunamente validati (con un’analisi del testo), l’hacker sarebbe in grado di inserire dei comandi che potenzialmente potrebbero interagire con il database.

SQL injection: classico e blind

Esistono due tipi di attacchi SQL injection il “classico” e il “blind”.

Effettuare un test di performance su MySQLMentre nel classico la vulnerabilità di SQL vede un input dell’utente non filtrato permettendo a un utente malintenzionato di inviare comandi al database ed avere una risposta; il “blind” consente al malintenzionato di inviare comandi al database, ma non permette di avere l’output del database.

Una SQL injection è in grado di generare un elenco di database a cui l’hacker ha accesso, oltre alla visione delle tabelle del database e gli consente di scaricare una serie di informazioni sensibili.

3 tecniche per proteggersi dagli attacchi SQL injection

Analizziamo quindi le tre migliori tecniche che consentono di proteggere dalla SQL injection un sito web realizzato e sviluppato mediante WordPress, il CMS più utilizzato nel mondo.

1. Pulire ed eliminare tutto ciò che può interferire con il database

Il modo più semplice per fare questo con WordPress, è quello di utilizzare la tecnica di preassegnare dei valori alle variabili tramite l’utilizzo dei placeholders all’interno del database MySQL.

2. Limitare i privilegi degli utenti dei database

Ottimizzare MySQL per migliorare le prestazioni del databaseDi default MySQL offre diverse tipologie di account e privilegi di accesso al database MySQL.

Tuttavia, non sempre sono necessari per l’uso quotidiano delle attività connesse a WordPress:

  1. creazione di nuovi utenti;
  2. post nel blog;
  3. caricamento di file multimediali;
  4. commenti agli articoli;
  5. installazione di plugin.

L’utente del database MySQL ha bisogno solo delle funzioni di lettura e scrittura cioè: SELECT, INSERT, UPDATE e DELETE. Altre strutture di database MySQL e una abbondanza di privilegi di amministrazione, come, ad esempio DROP, ALTER e GRANT possono essere revocate.

Questo mette in atto una politica di contenimento considerevole per prevenire gli attacchi SQL injection. 

3. Backup dei dati e codifica (criptazione)

Come fare il backup del database MySQL nel cloudEncrypt & Backup sono due elementi fondamentali per questo passaggio.

Questa tecnica si basa sui seguenti punti:

  1. codificare il backup;
  2. mantenere una registrazione indipendente degli hash MD5;
  3. esportare i backup su supporti esterni;
  4. realizzare degli snapshot ad intervalli regolari dell’installazione di WordPress;
  5. assicurarsi che gli snapshot includano tutti i file del core di WordPress compreso il database (meglio se questo è esterno al server su cui è installato WordPress).

In questo modo, anche se il sito ha subìto un attacco SQL injection, avendo fatto il backup sarà possibile ripristinare il sito in poco tempo.

Oltre il backup dei dati, un suggerimento utile è quello di camuffare l’account amministrativo cambiandogli il nome ed o il prefisso nelle tabelle del database. Questo può prevenire gli attacchi pre-programmati.

SQL injection: conclusione

Queste sono solo tre tecniche che semplificano la vita ai sistemisti e consentono agli sviluppatori web di realizzare siti WordPress un minimo più sicuri. Certamente le difficoltà sono tante ma è importante approcciare queste problematiche nel migliore dei modi.

Nel limite del possibile dobbiamo sempre fare il massimo per prevenire qualsiasi tipo di attacco. Lo ripeto ancora una volta, non dimenticare mai di:

  • fare un backup del tuo sito web meglio se automatizzato e in un posto diverso da dove è ospitato il sito;
  • aggiornare il core di WordPress e tutti i plugin che hai utilizzato.

Questo è il punto di partenza, poi potrai adottare altre soluzioni, anche più complesse.

Restiamo in attesa dei tuoi suggerimenti e delle tecniche o dei plugin che eventualmente utilizzi per proteggere il tuo sito web dagli attacchi hacker. Scrivili nei commenti, grazie.

Articoli correlati:

Come fare il backup di un sito WordpressCome fare il backup di un sito WordPress Come proteggere un sito web dal malwareCome proteggere un sito web da malware e hacker Default ThumbnailCome trasferire un sito WordPress sul nuovo provider

Interazioni del lettore

Lascia un commento Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Barra laterale primaria

Come diventare Web Designer Professionista

Crea il tuo sito web gratis

Scopri il nostro hosting gratuito FREE che comprende: dominio, 100 MB di spazio web, posta elettronica, database MySQL, certificato SSL e il pannello di controllo in italiano HVCP che consente anche l'installazione di WordPress con un click.

Scopri di più!

Web Designer alle prime armi?

Scarica l’Ebook e scopri le migliori tecniche e gli strumenti del mestiere usati dai Web Designer esperti.
Ti sveleremo:
- L’importanza del percorso formativo;
- I libri indispensabili;
- Gli strumenti migliori;
- Come trovare nuovi clienti;
- Come creare un preventivo efficace;
- Come creare un portfolio online;
- Come diventare pro con un mentore;
- Il pannello di controllo all-in-one.

Scarica l'ebook!
  • Le nuove funzioni di HVCP: crea il tuo sito web gratis
  • Le nuove funzioni di HVCP: Certificati SSL personali e per sottodomini
  • Le nuove funzioni di HVCP: IMAPSync, direttive php.ini, error log

Articoli recenti

  • Come usare Chat GPT per il tuo blog 28 Marzo 2023
  • I trend di web design per il 2023 21 Marzo 2023
  • Chat GPT: cos’è e a cosa serve 14 Marzo 2023
  • I plugin WordPress per la sicurezza del tuo sito web 7 Marzo 2023
  • Il design dei siti web per la Generazione Z 1 Marzo 2023

Il tuo sito web è al sicuro?

Attiva il Cloud Backup con il 20% di sconto! Grazie al semplice pannello di controllo in italiano puoi salvare nel cloud storage di Amazon tutti i dati del sito web e del database MySQL.

Scopri di più!

Footer

HostingVirtuale

  • Registrazione domini
  • Web Hosting
  • Posta Elettronica Certificata
  • Cloud server
  • Server dedicati
  • Virtual Private Server
  • Hosting reseller
  • Sicurezza siti web
  • Cloud Backup

Tag Cloud

app backup business cloud content marketing domini ecommerce email email marketing facebook freelance google grafica hosting condiviso hosting gratuito hostinterview inbound marketing infografica instagram intelligenza artificiale joomla malware mobile news pannello clienti pec personal branding pinterest plugin prestashop project management sconti seo server sicurezza smart working storytelling telegram tools tutorial twitter video marketing vps wordpress youtube

Articoli recenti

  • Come usare Chat GPT per il tuo blog
  • I trend di web design per il 2023
  • Chat GPT: cos’è e a cosa serve
  • I plugin WordPress per la sicurezza del tuo sito web
  • Il design dei siti web per la Generazione Z

© 2023 All Rights Reserved Hosting Virtuale srl Chieti Pescara Roma Partita IVA IT02586030690